Relevanssi <= 4.21.2 (Free) and < 2.25.0 (Premium) - Missing Authorization to Unauthorized Post Access (falta de autorizacion) - version 4.22.0

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Relevanssi que permite el acceso no autorizado a publicaciones. Esta falla afecta tanto a la versión gratuita como a la premium del plugin, comprometiendo la seguridad de los contenidos gestionados.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada para acceder a ciertas publicaciones, lo que permite a los usuarios no autenticados acceder a contenido restringido. Esto se debe a una gestión inadecuada de los permisos en las solicitudes de acceso a los posts.

Impacto potencial

El impacto potencial incluye la exposición de información sensible y la posibilidad de que usuarios no autorizados accedan a contenido que debería estar protegido. Esto puede afectar la reputación de la organización y la confianza de los usuarios en la plataforma.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas para acceder a publicaciones sin la debida autorización, lo que les permite visualizar contenido restringido.

Mitigación recomendada

Actualizar el plugin Relevanssi a la versión 4.22.0 o superior. Además, se recomienda revisar y reforzar las configuraciones de permisos y accesos a publicaciones en el sitio.

Señales de detección

Señales de riesgo incluyen accesos no autorizados a publicaciones y registros de actividad inusual en el acceso a contenido restringido. Monitorizar los logs de acceso puede ayudar a identificar intentos de explotación.

Alcance afectado

Las versiones afectadas son Relevanssi hasta la 4.21.2 para la versión gratuita y hasta la 2.25.0 para la versión premium. Cualquier instalación que utilice estas versiones es vulnerable.